Đây là lệnh thành văn có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
stoken - mã thông báo phần mềm để xác thực mật mã
SYNOPSIS
thẳng thắn [mã thông báo] [--stdin] [--lực lượng] [--Kế tiếp] [lựa chọn]
thẳng thắn nhập khẩu {--tệp =hồ sơ | --token =chuỗi_token} [--lực lượng] [lựa chọn]
thẳng thắn chốt [lựa chọn]
thẳng thắn thiết lập [lựa chọn]
thẳng thắn hiển thị [--hạt giống] [lựa chọn]
thẳng thắn xuất khẩu [{--block | --điện thoại Iphone | --android | --v3 | --sdtid | --qr =tập tin.png |
--show-qr}] [lựa chọn]
thẳng thắn vấn đề [-mẫu=hồ sơ]
thẳng thắn giúp đỡ
thẳng thắn phiên bản
MÔ TẢ
thẳng thắn là mã thông báo phần mềm tương thích với mã thông báo RSA SecurID 128-bit (AES). Lệnh-
giao diện dòng cung cấp các phương tiện để nhập mã thông báo mới, hiển thị
mã thông báo, mã hóa hạt giống bằng mật khẩu do người dùng chỉ định, lưu trữ mã PIN của người dùng
cùng với mã thông báo và xem hoặc xuất dữ liệu mã thông báo.
BASIC SỬ DỤNG
Sử dụng thẳng thắn nhập khẩu để giải mã một chuỗi mã thông báo và viết nó vào ~ / .stokenrc. Điều này có thể nhắc nhở
cho ID thiết bị và / hoặc mật khẩu, tùy thuộc vào tùy chọn mà quản trị viên của bạn đã sử dụng
tạo mã thông báo. Chuỗi mã thông báo có thể được cung cấp trên dòng lệnh hoặc đọc từ
tệp văn bản.
thẳng thắn sẽ tự động phát hiện các loại chuỗi mã thông báo sau:
286510182209303756117707012447003320623006 ...
29658-21098-45467-64675-65731-01441-11337...
Chuỗi "ctf" (định dạng mã thông báo nén) thuần số (81 chữ số), có hoặc không có
dấu gạch ngang. Những thứ này có thể đã được trang bị nguyên bản, hoặc chúng có thể được bắt nguồn từ
an sdtid gửi bởi RSA Trình chuyển đổi mã thông báo chương trình.
com.rsa.securid.iphone: // ctf? ctfData = 229639330774927764401 ...
Chuỗi mã thông báo tương thích với iPhone.
http://127.0.0.1/securid/ctf? ctfData = 250494932146245277466 ...
http://127.0.0.1/securid/ctf? ctfData = AwAAfBc3QSopPxxjLGnxf ...
Chuỗi mã thông báo tương thích với Android.
<?xml phiên bản = ...
RSA sdtid-tệp XML được định dạng. Chúng phải được nhập từ một tệp: thẳng thắn nhập khẩu
--file = FILE.SDTID.
Mã thông báo được cung cấp dưới dạng mã QR có thể được chuyển đổi trở lại URI tiêu chuẩn bằng cách chạy zbarimg(1)
trên tệp hình ảnh.
ID thiết bị, nếu được sử dụng, có thể được xem trong menu "giới thiệu" cho ứng dụng mã thông báo mềm RSA trên
điện thoại. Chuỗi ctf dạng số và mã thông minh liên kết với ID thiết bị chứa một hạt giống
được mã hóa bằng ID thiết bị, vì vậy ID phải được cung cấp trước khi có thể
nhập thành công mã thông báo. sdtid các tệp có thể được nhập mà không cần biết về
ID thiết bị, miễn là mật khẩu (nếu có) được biết.
Theo mặc định, thẳng thắn nhập khẩu sẽ từ chối ghi đè mã thông báo hiện có trong ~ / .stokenrc. Các
--lực lượng chuyển đổi ghi đè kiểm tra này.
thẳng thắn nhập khẩu thường sẽ nhắc nhập mật khẩu mới, được sử dụng để mã hóa hạt giống
trước khi cất giữ nó trong ~ / .stokenrc. Điều này có thể được bỏ qua bằng cách nhập mật khẩu trống hoặc
xác định --new-password = '' trên dòng lệnh. Bạn nên chọn một lâu hơn,
cụm mật khẩu khó đoán cho mục đích này.
Sau khi mã thông báo đã được nhập, đang chạy thẳng thắn không có đối số sẽ nhắc cho bất kỳ
mật khẩu hoặc mã PIN yêu cầu, sau đó hiển thị mã thông báo hiện tại.
Mã thông báo được tính toán từ dữ liệu gốc (được giải mã) thô, thời gian hiện tại trong ngày và
mã PIN. Nếu cùng một hạt giống được cài đặt trên nhiều thiết bị, tất cả chúng sẽ tạo ra
mã thông báo giống hệt nhau. Nếu không, hãy kiểm tra kỹ cài đặt múi giờ và xem xét
sử dụng NTP để đồng bộ thời gian hệ thống với một nguồn tốt đã biết.
thẳng thắn chốt có thể được sử dụng để lưu mã PIN trong ~ / .stokenrc. Không phải tất cả các mã thông báo đều yêu cầu
GHIM; quản trị viên SecurID có thể định cấu hình điều này khi tạo mã thông báo mới.
Đặt mã PIN trống sẽ xóa mã PIN khỏi ~ / .stokenrc để người dùng sẽ
nhắc nhở mỗi khi nó được yêu cầu. Xem AN NINH TƯ VẤN phần bên dưới cho
chi tiết bổ sung.
thẳng thắn thiết lập mã hóa hạt giống và mã PIN (nếu có) trong ~ / .stokenrc với một người dùng-
mật khẩu hoặc cụm mật khẩu có thể chọn. Nếu một mật khẩu trống được nhập, mật khẩu sẽ là
loại bỏ. Xem AN NINH TƯ VẤN phần bên dưới để biết thêm chi tiết.
XEM TOKEN
thẳng thắn hiển thị hiển thị thông tin về mã thông báo hiện tại, thường được đọc từ ~ / .stokenrc.
Sản phẩm --hạt giống tùy chọn hiển thị các byte hạt giống được mã hóa và giải mã (cần được xử lý
là dữ liệu nhạy cảm, vì chúng có thể được sử dụng để lấy mã thông báo).
thẳng thắn xuất khẩu dịch mã thông báo hiện tại sang định dạng phù hợp để nhập sang
thiết bị khác.
thẳng thắn vấn đề tạo mã thông báo phần mềm mới trong XML sdtid định dạng. Một tệp mẫu, chính nó
in sdtid , có thể được cung cấp để ghi đè một số hoặc tất cả các trường mà con người có thể đọc được.
Điều này sẽ cho phép các số sê-ri thích hợp, ngày hết hạn, tên người dùng, v.v.
được chỉ định. Nếu các trường Bí mật, Hạt giống hoặc MAC có trong tệp mẫu, chúng sẽ
mặc kệ.
GLOBAL LỰA CHỌN
--rcfile =hồ sơ
Sử dụng thay thế .stokenrc tập tin cấu hình. Điều này thường được sử dụng để hỗ trợ
nhiều mã thông báo trên cùng một tài khoản UNIX của người dùng. Lưu ý rằng .stokenrc hồ sơ
lưu trữ dữ liệu bổ sung (chẳng hạn như mã PIN), vì vậy nó không thể được phân tích cú pháp như một mã thông báo "thô"
chuỗi bởi thẳng thắn --tập tin.
- mật mã =mật khẩu, -p mật khẩu
Sử dụng mật khẩu được cung cấp từ dòng lệnh, thay vì nhắc người dùng. Nhìn thấy
ghi chú trong AN NINH TƯ VẤN phía dưới.
--pin =ghim, -n ghim
Sử dụng mã PIN được cung cấp từ dòng lệnh, thay vì nhắc người dùng. Xem ghi chú
in AN NINH TƯ VẤN phía dưới. Nếu bạn lưu mã PIN của mình trong ~ / .stokenrc, lưu ý rằng
--pin = 0000 thường được yêu cầu khi kích hoạt mã thông báo mềm mới lần đầu tiên.
--devid =tà
Sử dụng ID thiết bị được cung cấp từ dòng lệnh để giải mã mã thông báo. Một mã thông báo có thể
bị ràng buộc với ID thiết bị GUID lớp (nghĩa là một loại thiết bị nhất định, chẳng hạn như "iPhone"
hoặc "Android"), một ID thiết bị duy nhất (một đơn vị cụ thể) hoặc không có gì. thẳng thắn sẽ
cố gắng tự động phát hiện các kết quả phù hợp với GUID lớp, nhưng trong một số trường hợp hiếm hoi, kết quả này
trong trường hợp dương tính giả do xung đột băm. Trong những trường hợp này, ID thiết bị liên kết
nên được chỉ định trên dòng lệnh để ghi đè tính năng tự động phát hiện.
XUẤT KHẨU LỰA CHỌN
--new-password =mật khẩu
Cung cấp mật khẩu mã hóa từ dòng lệnh cho các hoạt động ghi ra
một chuỗi mã thông báo hoặc .stokenrc tập tin: nhập khẩu, xuất khẩu, thiết lậpvà vấn đề. Xem ghi chú trong
AN NINH TƯ VẤN phía dưới.
- lưu giữ mật khẩu
Nếu mã thông báo trong .stokenrc tệp được bảo vệ bằng mật khẩu, giữ nguyên
mật khẩu khi xuất mã thông báo. Theo mặc định, xuất khẩu hoạt động sẽ không
mã hóa mã thông báo bằng mật khẩu; lưu ý rằng có thể không nhập được tất cả
mật khẩu có thể có trên các thiết bị có khả năng nhập văn bản hạn chế (chẳng hạn như tính năng
những cái điện thoại).
--new-pin =ghim
Cung cấp mã PIN mới từ dòng lệnh cho chốt hoạt động. Xem ghi chú trong
AN NINH TƯ VẤN phía dưới.
--new-devid =tà
Được sử dụng với xuất khẩu or vấn đề lệnh mã hóa mã thông báo mới với một
ID thiết bị. Điều này chỉ được sử dụng cho mục đích thử nghiệm.
--block, --điện thoại Iphone, --android, --v3
Được sử dụng với xuất khẩu lệnh để chọn định dạng đầu ra. Xem các ví dụ trong BASIC
SỬ DỤNG. Theo mặc định, xuất khẩu lệnh sẽ in một chuỗi 81 chữ số chưa được định dạng tới
đầu ra tiêu chuẩn.
--sdtid, --xml
Các tùy chọn này là từ đồng nghĩa. Cả hai đều xuất mã thông báo sang đầu ra tiêu chuẩn trong RSA sdtid
Định dạng XML.
--qr =tập tin.png
Mã hóa mã thông báo dưới dạng mã QR và ghi nó vào tập tin.png. Điều này yêu cầu mã qren
chương trình sẽ được cài đặt.
--show-qr
Mã hóa mã thông báo dưới dạng mã QR và ngay lập tức hiển thị trên màn hình. Cái này
yêu cầu mã qren chương trình sẽ được cài đặt. Nếu QR_VIEWER môi trường
biến được thiết lập, thẳng thắn sẽ sử dụng chương trình đó làm trình xem ưu tiên. Nếu không thì
nó sẽ cố gắng thực thi một số trình xem hình ảnh Linux phổ biến và từ bỏ nếu không có
chúng tồn tại.
--template =hồ sơ
Được sử dụng với xuất khẩu or vấn đề lệnh ghi đè các trường trong đầu ra XML. Các
tệp mẫu phải giống bất kỳ tiêu chuẩn nào sdtid tệp, nhưng tất cả các trường là tùy chọn
và sẽ mặc định thành các giá trị lành mạnh hợp lý nếu bị bỏ qua. Điều này có thể được sử dụng để buộc
XML đầu ra để sử dụng một số sê-ri cụ thể, tên người dùng, ngày hết hạn, v.v.
Các tổng kiểm tra MAC đúng sẽ được tính (lại) trên các giá trị được cung cấp. Xem
ví dụ thư mục trong bản phân phối nguồn để biết thêm thông tin.
KHÁC LỰA CHỌN
- sử dụng thời gian ={unix_time|+bù đắp|-bù đắp}
Thay vì tạo mã thông báo dựa trên thời gian hiện tại trong ngày, hãy buộc
thời gian cụ thể hoặc điều chỉnh thời gian hiện tại dựa trên độ lệch dương hoặc âm
(tính bằng giây). Điều này chỉ được sử dụng cho mục đích thử nghiệm.
--Kế tiếp Tạo mã thông báo tiếp theo thay vì mã thông báo hiện tại. Trong 60 giây
mã thông báo, điều này tương đương với - sử dụng thời gian = + 60.
--stdin, -s
Khi tạo mã thông báo yêu cầu hay mật khẩu hoặc mã PIN, đọc
mật khẩu hoặc mã PIN dưới dạng một dòng từ đầu vào tiêu chuẩn. Điều này nhằm mục đích cho phép
chương trình bên ngoài để gọi thẳng thắn để tạo mật khẩu sử dụng một lần mà không cần người dùng
sự can thiệp; Thấy chưa KHÔNG TƯƠNG TÁC SỬ DỤNG phía dưới.
--lực lượng, -f
Ghi đè kiểm tra ngày hết hạn mã thông báo (đối với mã thông báo) hoặc mã thông báo ghi đè kiểm tra
(Đối với nhập khẩu).
--lô hàng, -b
Hủy bỏ bằng mã thoát lỗi nếu bất kỳ đầu vào của người dùng nào được yêu cầu. Dự định cho
vận hành và thử nghiệm tự động.
--tệp =hồ sơ
Đọc chuỗi ctf, URI Android / iPhone hoặc XML sdtid mã thông báo từ hồ sơ thay vì
của .stokenrc cấu hình. Phần lớn thẳng thắn lệnh chấp nhận cờ này, nhưng nó là
dự kiến rằng người dùng thông thường sẽ lưu mã thông báo của mình vào ~ / .stokenrc thay vì
cung cấp nó bằng tay trên mỗi lời kêu gọi. Tiêu biểu --tập tin và --mã thông báo chỉ là
được sử dụng cho nhập khẩu chỉ huy.
--token =chuỗi_token
Sử dụng mã thông báo từ dòng lệnh thay vì .stokenrc tập tin. Xem ghi chú ở trên
on --tập tin.
--ngẫu nhiên
Tạo mã thông báo ngẫu nhiên một cách nhanh chóng. Chỉ được sử dụng để thử nghiệm hoặc trình diễn.
Những mã thông báo này nên không được sử dụng để xác thực thực.
--Cứu giúp, -h
Hiển thị thông tin sử dụng cơ bản.
--phiên bản, -v
Hiển thị thông tin phiên bản.
AN NINH TƯ VẤN
Mã thông báo phần mềm, không giống như mã thông báo phần cứng, tương đối dễ sao chép. Hệ thống
lưu trữ hạt mã thông báo mềm nên được bảo vệ cẩn thận để ngăn chặn việc tiết lộ trái phép.
Việc sử dụng mã hóa toàn bộ đĩa, chẳng hạn như TrueCrypt, được khuyến khích thực hiện cho máy tính xách tay
và các thiết bị di động khác dễ bị mất hoặc bị đánh cắp.
thẳng thắn cho phép người dùng lưu trữ mã PIN của họ trong ~ / .stokenrc để cho phép tự động (có thể tập lệnh)
tạo mã thông báo, nhưng rủi ro của phương pháp này cần được cân nhắc cẩn thận
chống lại các lợi ích.
Sử dụng thiết lập lệnh mã hóa hạt giống và mã PIN trong ~ / .stokenrc cung cấp một số mức độ
bảo vệ chống lại sự truy cập trái phép, nhưng không nhất thiết phải bao gồm tất cả những gì có thể
vectơ tấn công. Máy chủ lưu trữ đã bị xâm phạm (ví dụ: chạy keylogger) sẽ không
cung cấp sự bảo vệ thích hợp cho (các) hạt giống được lưu trữ trên đó.
thẳng thắn mật khẩu mã hóa có thể dài tối đa 40 ký tự. Một cụm mật khẩu dài hơn
được xây dựng từ một số từ ngẫu nhiên có thể cung cấp khả năng bảo vệ nhiều hơn khỏi các cuộc tấn công vũ phu
hơn một mật khẩu ngắn hơn.
Nhập mật khẩu hoặc mã PIN trên dòng lệnh thường không an toàn trên các hệ thống nhiều người dùng,
vì những người dùng khác có thể xem các đối số dòng lệnh trong ps hoặc các tiện ích tương tự.
Dòng lệnh cũng có thể được lưu trữ trong các tệp lịch sử shell.
Mã hóa mã thông báo QR có thể hiển thị dữ liệu hạt giống thông qua ps, và --show-qr tùy chọn viết
tệp PNG tạm thời trong / Tmp.
thẳng thắn cố gắng khóa các trang để ngăn việc hoán đổi ra đĩa, nhưng không xóa được bí mật
từ bộ nhớ quy trình.
KHÔNG TƯƠNG TÁC SỬ DỤNG
Các ứng dụng khác, chẳng hạn như máy khách VPN, có thể muốn gọi thẳng thắn không tương tác với
tạo mật khẩu sử dụng một lần. Ba chế độ sử dụng được hỗ trợ, tùy thuộc vào mức độ
bảo mật (và / hoặc tiện lợi) được yêu cầu:
Không mật khẩu or PIN
Người dùng cấu hình thẳng thắn để in mã thông báo ngay lập tức khi được yêu cầu, không có
lời nhắc, bằng cách sử dụng chốt để lưu trữ mã PIN ~ / .stokenrc và sử dụng thiết lập để thiết lập một sản phẩm nào
mật khẩu mở khóa. Ứng dụng khác sau đó có thể gọi thẳng thắn --lô hàng và đọc mã thông báo
thông qua một đường ống từ đầu ra tiêu chuẩn.
Điều này không cung cấp bảo mật cho hạt giống, nhưng có thể hữu ích trong các ứng dụng nơi
xác thực (lại) là thường xuyên hoặc hoạt động không giám sát là bắt buộc.
Lưu các PIN và định a mật khẩu
Người dùng cấu hình thẳng thắn để mã hóa ~ / .stokenrc bí mật với một mật khẩu bằng cách sử dụng
thiết lập, sau đó lưu mã PIN với chốt. Cả mã PIN và hạt giống đều sẽ được mã hóa bằng
Mật khẩu. Ứng dụng khác sẽ yêu cầu mật khẩu từ người dùng, sau đó gọi
thẳng thắn --stdin, ghi mật khẩu vào thẳng thắnlà đầu vào tiêu chuẩn thông qua một đường ống và đọc
sao lưu một mã thông báo từ thẳng thắnđầu ra tiêu chuẩn.
Không mật khẩu; nhanh chóng cho các PIN
Tương tự như trên, nhưng đặt mật khẩu trống bằng cách sử dụng thiết lập, không lưu mã PIN trong
~ / .stokenrcvà chuyển mã PIN cho thẳng thắn --stdin thông qua đầu vào tiêu chuẩn.
Sử dụng trực tuyến thẳng thắn bằng các dịch vụ onworks.net